ΑΝΩΤΑΤΟ ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΑΡΤΑΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ 1
1 ΕΙΣΑΓΩΓΗ Tα τελευταία χρόνια το Διαδίκτυο αναπτύσσεται και επεκτείνεται με εκθετικούς ρυθμούς τόσο σε επίπεδο πλήθους χρηστών όσο και σε επίπεδο παρεχόμενων υπηρεσιών. Η ευρεία χρήση των κατανεμημένων βάσεων δεδομένων, των κατανεμημένων υπολογιστών και των τηλεπικοινωνιακών εφαρμογών, όπως για παράδειγμα ηλεκτρονικό ταχυδρομείο, ηλεκτρονική μεταφορά χρημάτων κτλ. βρίσκει άμεση εφαρμογή και αποτελεί θεμελιώδες στοιχείο επικοινωνία, άμυνα, τράπεζες, χρηματιστήρια, υγεία, εκπαίδευση. Τεράστιος όγκος και μεγάλη ποικιλία πληροφοριών διακινείται πλέον μέσω του Διαδικτύου καθιστώντας το ζωτικό παράγοντα της κάθε μορφής ανθρώπινη δραστηριότητα: οικονομικής, πολιτικής, κοινωνικής. Η φύση αυτή του Διαδικτύου έχει καταστήσει διαρκώς αυξανόμενη την ανάγκη προστασίας των δεδομένων αφού η μη εξουσιοδοτημένη πρόσβαση στις διακινούμενες πληροφορίες είναι σχετικά εύκολη, έχει ενδεχομένως καταστρεπτικές συνέπειες για την εύρυθμη λειτουργία οργανισμών (οικονομικών, στρατιωτικών, πολιτικών) και κρατών και επιπλέον ανιχνεύεται δύσκολα. Το πρόβλημα της ασφάλειας στα δίκτυα υπολογιστών γενικά και στο Διαδίκτυο συγκεκριμένα έχει απασχολήσει έντονα όλους όσων τα συμφέροντα διακυβεύονται σε μεγάλο βαθμό και έχει κινητοποιήσει τόσο την επιστημονική κοινότητα όσο και εταιρίες ανάπτυξης λογισμικού και δικτυακών υποδομών προς την κατεύθυνση της πληρέστερης κατανόησης και επίλυσής του. 2
ΚΕΦΑΛΑΙΟ ΠΡΩΤΟ 1.1 Στόχοι της ασφάλειας Οι στόχοι της ασφάλειας είναι οι παρακάτω: Μυστικότητα : Ο στόχος αυτός είναι πολύ σημαντικός για την ασφάλεια των δικτύων. Για να γίνουμε ποιο σαφείς, η πρόσβαση στους πόρους ενός υπολογιστικού συστήματος γίνετε από εξουσιοδοτημένα άτομα. Τα άτομα αυτά έχουν την δυνατότητα να βλέπουν, να διαβάζουν και να εκτυπώνουν τα δεδομένα και όχι να τα επεξεργάζονται και να τα αλλάζουν. Ακεραιoτότητα : Υπάρχουν τρεις απόψεις τις ακεραιότητας : εξουσιοδοτημένες ενέργειες, διαχώριση και προστασία των πηγών, και ανίχνευση και διόρθωση λαθών. Η ακεραιότητα μπορεί να επιτευχθεί μονό με αυστηρό έλεγχο, για το ποιος προσπελαύνει ποιες πηγές και με ποιον τρόπο. Διαθεσιμότητα : Ένα εξουσιοδοτημένο άτομο θα πρέπει να έχει πρόσβαση σε όλους τους πόρους εφόσον έχει τα νόμιμα δικαιώματα και δεν θα πρέπει να εμποδίζετε από κανέναν. 1.2 ΠΡΟΣΔΙΟΡΙΣΜΟΣ ΤΩΝ ΑΠΕΙΛΩΝ Μόλις προσδιοριστούν οι πόροι που απαιτούν προστασία, είναι απαραίτητο να προσδιοριστούν οι πιθανές απειλές τους. Οι απειλές μπορούν κατόπιν να εξεταστούν για να καθορίσουν πια πιθανότητα απώλειας υπάρχει. Αυτό βοηθάει κάποιον στο να εξετάσει από ποιες απειλές προσπαθεί να προστατεύσει τους πόρους του. 3
Οι απειλές διακρίνονται σε τρεις βασικές κατηγορίες ανάλογα με το αίτιο εμφάνισης τους: «Φυσικές απειλές» που αναφέρονται σε φυσικά και περιβαλλοντολογικά φαινόμενα, «απειλές απροσδόκητες ή αθέλητες» (accidental threats) οι οποίες μπορούν να προκαλέσουν είτε την αποκάλυψη εμπιστευτικών πληροφοριών ή να δημιουργήσουν μια μη αποδεκτή κατάσταση στο σύστημα και «σκόπιμες ή ηθελημένες» (intentional threats) όπως οι «προσβολές ή επιθέσεις» (attacks) από εξωγενείς παράγοντες. Φυσικές απειλές Οι απειλές αυτού του είδους αναφέρονται κυρίως σε φυσικά φαινόμενα (φωτιά, πλημμύρα, disk fail, κλοπή, αθέλητη ηθελημένη διαγραφή ή format) και άρα δεν είναι δυνατόν πάντα να αποτραπούν. Από την άλλη όμως είναι σημαντικό να αποφεύγονται ενέργειες που αυξάνουν την πιθανότητα εκδήλωσης τους (π.χ. κάπνισμα σε «κρίσιμους» χώρους. Ωστόσο, η ύπαρξη έτοιμου εφεδρικού συστήματος (back-up system) με την ανάλογη λήψη εφεδρικών αρχείων για τα κρίσιμα δεδομένα του συστήματος, μπορεί να περιορίσει τις κακές συνέπειες από την εκδήλωση τέτοιων απειλών. Απροσδόκητες απειλές Οι απροσδόκητες απειλές μπορούν να εξελιχθούν σε κινδύνους που έχουν σχέση με την αποκάλυψη ή την τροποποίηση αντικειμένων (κυρίως πληροφοριών). Τέτοιου είδους «αποκάλυψη» μπορεί να προκληθεί από αστοχία στο υλικό του συστήματος ή στις εφαρμογές και τα προγράμματα που εκτελούνται σε αυτό αλλά και από τους χρήστες καθώς και από λάθη χειρισμών. Αποτέλεσμα αυτών των απειλών είναι η απώλεια εμπιστευτικότητας. Για παράδειγμα ένας χρήστης, ο οποίος από λάθος χειρισμό στέλνει μέσω ηλεκτρονικού ταχυδρομείου ένα εμπιστευτικό μήνυμα σε λάθος παραλήπτη, αποτελεί απροσδόκητη ή αθέλητη απειλή για την ασφάλεια του συστήματος. Μια απροσδόκητη απειλή μπορεί να προκαλέσει ακόμη και την τροποποίηση ενός αντικειμένου η οποία μπορεί να θεωρηθεί ως παραβίαση της ακεραιότητας του. Ως αντικείμενο μπορεί να θεωρηθεί είτε μια πληροφορία ή ακόμη και κάποιος πόρος του συστήματος. Απειλές από επιθέσεις (εισβολές στο σύστημα) Μια εισβολή στο σύστημα αποτελεί απειλή που προκαλείται σκόπιμα και πραγματοποιείται από οντότητες που έχουν σκοπό την παραβίαση της ασφάλειας. Οι εισβολές συνήθως έχουν σαν στόχο την καταστροφή, την υποκλοπή ή την τροποποίηση πληροφοριών. Με αυτό τον τρόπο αποκαλύπτονται πληροφορίες οπότε έχουμε απώλεια εμπιστευτικότητας ή τροποποιούνται άρα έχουμε παραβίαση της ακεραιότητας των πληροφοριών. Οποιαδήποτε προσπάθεια η οποία καταστρατηγεί τους κανόνες ασφάλειας, όπως αυτοί έχουν καθοριστεί μέσω της πολιτικής ασφάλειας, η οποία με τη σειρά της προσδιορίζει τους επιτρεπτούς τρόπους πρόσβασης στα αντικείμενα του συστήματος, θεωρείται ως παραβίαση των κανόνων ασφάλειας. 4
1.2.1 Προβλήματα στην ασφάλεια δικτύων Θα σας αναλύσουμε παρακάτω για ποιους λόγους δημιουργούνται προβλήματα στην ασφάλεια των δικτύων : Πολυπλοκότητα του συστήματος : Σε ένα δίκτυο υπάρχει η δυνατότητα να συνυπάρξουν δυο λειτουργικά συστήματα και φυσικό είναι να είναι ποιο πολύπλοκο από ότι να υπάρχει ένα λειτουργικό σύστημα. Ο παράγοντας πολυπλοκότητα περιορίζει την εμπιστοσύνη στην ασφάλεια ενός δικτυού. Άγνωστο το μέγεθος του δικτυού : Όταν το μέγεθος ενός δικτύου είναι μεγάλο ο έλεγχος του γίνετε όλο και ποιο δύσκολος και έτσι περιορίζεται και η ασφάλεια του. Όταν ένας χρήστης είναι κόμβος σε δυο διαφορετικά δίκτυα, με αποτέλεσμα οι πηγές του ενός δικτύου να είναι προσβασιμες στους χρήστες του άλλου δικτύου αυτό περιορίζει την ασφάλεια του. Ανωνυμία : Όταν ένας εισβολέας θέλει να κάνει επίθεση σε ένα σύστημα και αυτό γίνεται χωρίς να χρειάζεται να έρθει σε επαφή με το σύστημα στο οποίο επιτίθεται. Γιατί η επίθεση του γίνεται μέσα από διαφορετικούς hosts, με αποτέλεσμα να κρύβει την προέλευση τής επίθεσης. Άγνωστη διαδρομή : Η επικοινωνία μεταξύ δυο hosts γίνετε μέσα από διαδρομές (μονοπάτια). Μεταξύ δυο hosts δεν υπάρχει μόνο μια διαδρομή άλλα πολλές. Με αποτέλεσμα όταν ένας χρήστης θέλει να στείλει ένα μήνυμα σε έναν άλλον, το μήνυμα αυτό μπορεί να περάσει και από διαφορετικούς χρήστες που δεν έχουν την απαραίτητη ασφάλεια και έτσι το μήνυμα αυτό δεν είναι ασφαλές. 5
1.3 ΕΠΙΘΕΣΕΙΣ ΑΣΦΑΛΕΙΑΣ Οι επιθέσεις στην ασφάλεια ενός συγκροτήματος ηλεκτρονικών υπολογιστών ή ενός δικτύου χαρακτηρίζονται καλύτερα από την εξέταση της λειτουργίας του συγκροτήματος ηλεκτρονικών υπολογιστών ως προς την παροχή πληροφοριών. Γενικά, υπάρχει μια ροή των πληροφοριών από μια πηγή, όπως ένα αρχείο ή μια περιοχή της κύριας μνήμης, προς έναν προορισμό, όπως ένα άλλο αρχείο ή ένας χρήστης. Αυτή η κανονική ροή απεικονίζεται στο σχήμα 2-1. Τα υπόλοιπα μέρη του σχήματος παρουσιάζουν τις ακόλουθες τέσσερις γενικές κατηγορίες επίθεσης : Διακοπή (interruption): Ένα μέρος του συστήματος γίνεται μη διαθέσιμο ή άχρηστο ή χάνεται εντελώς. Σε αυτή την περίπτωση έχουμε άρνηση εξυπηρέτησης (denial of service) του συστήματος προς τους εξουσιοδοτημένους χρήστες του. Υποκλοπή (interception): Κάποιο μη εξουσιοδοτημένο άτομο έχει καταφέρει να αποκτήσει προσπέλαση σε ένα τμήμα του συστήματος (π.χ. κλοπή εξαρτημάτων, παρακολούθηση δεδομένων στο δίκτυο, κλπ.). Σε αυτή την περίπτωση παραβιάζεται η εμπιστευτικότητα των δεδομένων του συστήματος. Μετατροπή (modification): Κάποιο μη εξουσιοδοτημένο άτομο αποκτά πρόσβαση σε μέρος του συστήματος και παραποιεί λογισμικό ή πληροφορίες (δεδομένα) του συστήματος. Πρόκειται κυρίως για παραβίαση της ακεραιότητας του συστήματος. Πλαστογραφία (fabrication): Είναι απειλή που αναφέρεται αποκλειστικά στα δεδομένα του συστήματος και συμβαίνει όταν ένα μη εξουσιοδοτημένο άτομο εισάγει επιπλέον - παραποιημένα δεδομένα σε ένα σύστημα. Πρόκειται για απειλή κατά της ακεραιότητας και της διαθεσιμότητας του συστήματος. 6
Σχήμα 2-1: ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ Μια χρήσιμη κατηγοριοποίηση των παραπάνω επιθέσεων είναι σε παθητικές και ενεργητικές επιθέσεις. Παθητικές (passive). Θεωρούνται αυτές που έχουν σαν στόχο την παρακολούθηση ενός συστήματος και τη συλλογή πληροφοριών για τον τρόπο λειτουργίας του. Γενικά είναι δύσκολο να εντοπισθεί μια παθητική εισβολή διότι συνήθως δεν απαιτεί αλληλεπίδραση με το σύστημα και δεν διαταράσσει την ομαλή λειτουργία του. Ως παράδειγμα μπορεί να θεωρηθεί η παρακολούθηση κυκλοφορίας σε ένα δίκτυο δεδομένων. Η κρυπτογράφηση μπορεί να λύσει μερικώς το πρόβλημα διότι η ύπαρξη και μόνο κίνησης σε ένα δίκτυο μπορεί να προκαλέσει αποκάλυψη πληροφοριών αναλύοντας για παράδειγμα χρόνους και συχνότητες μετάδοσης ή μήκος πληροφορίας ανεξάρτητα από περιεχόμενο. Ενεργητικές (active). Θεωρούνται αυτές που προκαλούν αλλαγές στη συμπεριφορά ενός συστήματος. Για παράδειγμα η παρεμβολή μηνυμάτων σε ένα δίκτυο, η πρόκληση καθυστέρησης, η αναδιάταξή τους, η αναπαραγωγή ή και η διαγραφή υπαρχόντων μηνυμάτων, η σκόπιμη εκμετάλλευση του λογισμικού του συστήματος για την πρόκληση ζημιάς κλπ. Μια απλή ενέργεια όπως αυτή της τροποποίησης μιας αρνητικής αναγνώρισης (NACK) από ένα εξυπηρετητή 7
δεδομένων (database server) σε θετική (ACK), μπορεί να προκαλέσει μεγάλη σύγχυση ή και ζημιά. Οι ενεργητικές επιθέσεις σε αντίθεση με τις παθητικές μπορούν να εντοπιστούν ευκολότερα αν έχουν ληφθεί τα κατάλληλα μέτρα. 1.4 ΕΡΓΑΛΕΙΑ ΕΠΙΘΕΣΗΣ 1.4.1 ΔΟΥΡΕΙΟΙ ΙΠΠΟΙ (TROJAN HORSES) Οι Δούρειοι Ίπποι (Trojan horses) είναι προγράμματα που προσποιούνται ότι έχουν άλλες λειτουργίες από αυτές που πραγματικά υλοποιούν. Συνήθως κρύβονται σε άλλα προγράμματα, αλλά μπορούν να βρίσκονται και μεμονωμένα. Παράδειγμα Δούρειου Ίππου είναι ο Happy99.exe. Αυτοί αντιπροσωπεύουν ποσοστό 58% του συνόλου των εργαλείων επίθεσης. 1.4.2 «ΣΚΟΥΛΗΚΙΑ» (WORMS) Tα σκουλήκια είναι προγράμματα που εξαπλώνονται μέσω των δικτυωμένων υπολογιστών, αντιγράφοντας τα ίδια ανεξέλεγκτα, αλλά συνήθως δεν προκαλούν άλλου τύπου επιπλοκές. Tα σκουλήκια μοιάζουν πολύ με τους ιούς στο ότι αντιγράφονται από μόνα τους και επιτίθενται σε συστήματα με σκοπό να επιφέρουν βλάβες. Πρόκειται για αυτόνομα προγράμματα που μολύνουν υπολογιστικά συστήματα μόνο μέσω δικτυακών συνδέσεων. Για τη δημιουργία απαιτούνται ειδικές γνώσεις πρωτοκόλλων επικοινωνιών, ευπαθειών δικτυακών συστημάτων και ειδικών θεμάτων πάνω σε λειτουργικά συστήματα. Tα σκουλήκια μπορούν να εκτελούν και κακόβουλες πράξεις που δεν περιορίζονται μόνο στην καταστροφή αρχείων. Μέσω των δικτυακών συνδέσεων μπορούν να υποκλέψουν και να μεταφέρουν προς τους συγγραφείς τους πληροφορίες που αφορούν συνθηματικά χρηστών και άλλες ευαίσθητες και πολύτιμες πληροφορίες. Επιπλέον, μπορούν να επιφέρουν πλήρη αποδιοργάνωση των λειτουργιών ενός συστήματος ώστε να προκαλείται επίθεση άρνησης εξυπηρέτησης. Αυτό συνήθως προκαλείται από παράλληλες και ανοργάνωτες επιθέσεις περισσότερων του ενός σκουληκιών στο ίδιο σύστημα. 1.4.3 ΙΟΙ (VIRUSES) 8
Οι Ιοί (viruses), τα γνωστά προγράμματα που προσπαθούν (με πονηρές και συνήθως δόλιες τεχνικές) να εγκατασταθούν σε κάποιους υπολογιστές και να προσβάλουν την ακεραιότητα του συστήματος με διάφορους τρόπους (από τους πιο ανώδυνους, αφήνοντας μία υπογραφή-ίχνος της παρουσίας τους, μέχρι πιο επώδυνους, απώλεια δεδομένων, καταστροφή της διαμόρφωσης (configuration) του συστήματος, κλπ.). Όσον αφορά τον τρόπο ενεργοποίησής τους, οι ιοί αντιγράφονται από μόνοι τους με δύο βασικούς τρόπους. Όταν εκτελείται ένα μολυσμένο πρόγραμμα: είτε μολύνει άμεσα άλλα μέρη του υπολογιστή, π.χ άλλες τοποθεσίες στο δίσκο ή άλλα προγράμματα είτε εγκαθίσταται μόνιμα στη μνήμη από μόνο του και κατόπιν μολύνει άλλα προγράμματα που εκτελούνται ή μέσα αποθήκευσης που εισάγονται για χρήση (π.χ.δισκέτες). Οι ιοί που εισχωρούν σε ένα σύστημα δεν μπορούν να παραμείνουν ολότελα αόρατοι αφού ο ιοικός κώδικας πρέπει να αποθηκευτεί κάπου. Παρόλα αυτά οι ιοί μπορούν να κρύβονται (κατά ένα μέρος) είτε τεμαχίζοντας τον κώδικα τους είτε αποθηκευόμενοι σε κρυπτογραφημένη μορφή, όπως οι πολυμορφικοί ιοί, χρησιμοποιώντας ένα μεταβλητό κρυπτογραφικό κλειδί το οποίο επίσης αποθηκεύεται μαζί με τον κρυπτογραφημένο ιοικό κώδικα. Όμως, το μέρος του ιοικού κώδικα που είναι υπεύθυνο για την διαδικασία αποκρυπτογράφησης πρέπει να παραμείνει χωρίς κρυπτογράφηση, αφήνοντας έτσι μια υπογραφή που είναι ικανή για τον εντοπισμό των ιών αυτών. 1.4.4 «ΑΝΙΧΝΕΥΤΕΣ» (SCANNERS) Οι ανιχνευτές (scanners) δικτυακής κίνησης είναι προγράμματα που χρησιμοποιούνται για τον έλεγχο της ασφάλειας των συστημάτων. Ονομάζονται ανιχνευτές γιατί γνωρίζουν όλα τα πιθανά εξωτερικά σημεία που θα μπορούσε να εκμεταλλευτεί ένας επίδοξος hacker για να προσβάλει την ασφάλεια του συστήματος. Αν και αρχικά δημιουργήθηκαν για χρήση από τους διαχειριστές των συστημάτων, σύντομα έγιναν εργαλεία των hackers για να βρίσκουν πιθανούς στόχους. Το ποσοστό της χρήσης τους είναι 14.3% του συνόλου των εργαλείων επίθεσης. 1.4.5 «ΣΠΑΣΤΗΡΙΑ ΚΩΔΙΚΩΝ» (PASSWORD CRACKS) Tα «σπαστήρια κωδικών» (password cracks) είναι προγράμματα τα οποία με είσοδο ένα αρχείο κωδικών πρόσβασης (password file) και με χρήση ενός Λεξικού συνηθισμένων λέξεων που χρησιμοποιούνται ως κωδικοί, προσπαθούν να 9
ανακαλύψουν όσο το δυνατό περισσότερους κωδικούς για πρόσβαση σε κάποιο σύστημα. Ενδεικτικά αναφέρεται ότι σε ένα UNIX σύστημα 1000 περίπου χρηστών, και υποθέτοντας ότι οι χρήστες δεν έχουν συμβουλευτεί να επιλέγουν δύσκολους κωδικούς (συνήθως συνδυασμό γραμμάτων, αριθμών και σημείων στίξης), ένα «σπαστήρι» μπορεί να ανακαλύψει εύκολα ένα ποσοστό 40% των συνολικών κωδικών. Tα προγράμματα αυτά χρησιμοποιούν και οι διαχειριστές συστημάτων για να προλάβουν παρόμοιες ενέργειες από hackers. 1.4.6 «ΩΤΑΚΟΥΣΤΕΣ» ΠΑΚΕΤΩΝ (PACKET SNIFFERS) Οι «Ωτακουστές» πακέτων (packet sniffers) είναι προγράμματα που μπορούν να παρακολουθούν («ακούν», ή «μυρίζουν» - sniff) την κίνηση του δικτύου σε επίπεδο IP πακέτων. Με κατάλληλες τεχνικές, έχουν την δυνατότητα να ανακατασκευάσουν τα μηνύματα και να κάνουν αναγνώριση των πρωτοκόλλων που περνούν πάνω από το δίκτυο. Οι «Ωτακουστές» τρέχουν συνήθως σε τοπικά δίκτυα (Ethernet) και «κλέβουν» κωδικούς πρόσβασης ή παρακολουθούν τις πληκτρολογήσεις από συγκεκριμένους σταθμούς εργασίας. Με κατάλληλους μηχανισμούς ανασυνθέτουν τα πακέτα που μπορεί να έχουν χρήσιμη πληροφορία (κωδικούς πρόσβασης, αρχεία, κλπ.) χωρίς όμως να επηρεάζουν το περιεχόμενό τους (ανάγνωση μόνο). Tα γεγονότα που αφορούν «Ωτακουστές» ανταποκρίνονται σε ένα ποσοστό 31% του συνόλου των εργαλείων επίθεσης. O τρόπος επίθεσης με αυτούς εφαρμόζει μία κλιμάκωση στον τρόπο δράσης: ξεκινά από απλή ανίχνευση του στόχου κι αφού εντοπίσει παραλείψεις στην ασφάλεια, εισβάλλει, σβήνει τα ίχνη, αποδυναμώνει την άμυνα του συστήματος (π.χ τη Δικτυακή Υπηρεσία Πληροφοριών - NIS, το Πρωτόκολλο Μεταφοράς Αρχείων FTP κλπ) και εγκαθιστά Trojans για την εξάπλωση του. Η χρήση των «Ωτακουστών» αν και μπορεί να έχει θετικά αποτελέσματα για την διαχείριση δικτύου και υπολογιστικών συστημάτων (εντοπισμός bottlenecks, άχρηστης πληροφορίας που μεταδίδεται κλπ.) στα χέρια των hackers μπορεί να έχει καταστροφικά αποτελέσματα. Η χρήση ενός «Ωτακουστή» απαιτεί προνόμια διαχειριστή (superuser privileges), αλλά σήμερα, ο καθένας είναι «διαχειριστής» του προσωπικού του συστήματος και μάλιστα με σύνδεση στο διαδίκτυο. Για τον λόγο αυτό, η ασφάλεια από τα sniffers θα πρέπει να εξασφαλίζεται στο επίπεδο Παρόχου Υπηρεσιών Διαδικτύου (Internet Service Provider ISP). 1.5 ΤΑ ΒΑΣΙΚΟΤΕΡΑ ΕΙΔΗ ΤΩΝ ΕΠΙΘΕΣΕΩΝ ΚΑΤΑ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΔΙΚΤΥΩΝ 10
Υποκλοπή επικοινωνιών. Οι ηλεκτρονικές επικοινωνίες μπορούν να υποκλαπούν και τα δεδομένα να αντιγραφούν ή να τροποποιηθούν [Site3]. Η υποκλοπή μπορεί να πραγματοποιηθεί με διάφορους τρόπους. Ενδεχόμενη ζημία: Η παράνομη υποκλοπή μπορεί να προξενήσει βλάβη, τόσο ως παραβίαση της ιδιωτικής ζωής των ατόμων, όσο και μέσω της εκμετάλλευσης των δεδομένων που έχουν υποκλαπεί, όπως συνθηματικών ή στοιχείων από πιστωτικές κάρτες για εμπορικό κέρδος ή δολιοφθορά. Μη εξουσιοδοτημένη πρόσβαση σε υπολογιστές και δίκτυα υπολογιστών (hacking, cracking). Η μη εξουσιοδοτημένη πρόσβαση σε έναν υπολογιστή ή σε ένα δίκτυο υπολογιστών πραγματοποιείται συνήθως κακόβουλα με την πρόθεση αντιγραφής, τροποποίησης ή καταστροφής δεδομένων. Αυτό τεχνικά αποκαλείται παρείσφρηση και μπορεί να γίνει με διάφορους τρόπους, όπως: i) με την αξιοποίηση πληροφοριών που προέρχονται από το εσωτερικό, επιθέσεις «λεξικού», ii) με βίαιες επιθέσεις (εκμεταλλευόμενες την τάση των χρηστών να επιλέγουν προβλέψιμα συνθηματικά), iii) με χειραγώγηση (που εκμεταλλεύεται την τάση των χρηστών να αποκαλύπτουν πληροφορίες σε φαινομενικά αξιόπιστα άτομα), και iv) με την υποκλοπή συνθηματικών. Ενδεχόμενη ζημία: Η μη εξουσιοδοτημένη παρείσφρηση έχει ενίοτε ως κίνητρο διανοητική πρόκληση και όχι κερδοσκοπία. Ωστόσο, αυτό που αρχίζει ως μια διαδικασία παρενόχλησης αναδεικνύει τα τρωτά σημείων των δικτύων πληροφοριών και παρακινεί άτομα με εγκληματική ή δόλια πρόθεση να εκμεταλλευθούν αυτές τις αδυναμίες. Η προστασία κατά της μη εξουσιοδοτημένης πρόσβασης σε προσωπικές πληροφορίες, περιλαμβανομένων οικονομικών πληροφοριών, τραπεζικών λογαριασμών και δεδομένων υγείας, αποτελεί δικαίωμα των ατόμων. Για το δημόσιο τομέα και τη βιομηχανία, οι επιβουλές κυμαίνονται από την οικονομική κατασκοπεία έως τη δυνητική τροποποίηση εσωτερικών ή δημόσιων δεδομένων, συμπεριλαμβανομένης της αλλοίωσης του περιεχομένου δικτυακών τόπων. Διατάραξη δικτύων (denial of service), δηλαδή πρόκληση κατάρρευσης ενός δικτύου λόγω υπερφόρτωσης. Τα δίκτυα είναι σε μεγάλο βαθμό ψηφιοποιημένα και ελέγχονται από υπολογιστές. Ο πλέον κοινός λόγος διατάραξης δικτύου υπήρξε κατά το παρελθόν η βλάβη στο σύστημα υπολογιστή που ελέγχει το δίκτυο, ενώ οι επιθέσεις εναντίον δικτύου κατευθύνονταν κυρίως προς τους εν λόγω υπολογιστές. Σήμερα, οι περισσότερες επιθέσεις εκμεταλλεύονται τις αδυναμίες και ευπάθειες των συστατικών στοιχείων του δικτύου/λειτουργικά συστήματα, δρομολογητές, μεταγωγείς, εξυπηρετητές ονομάτων κλπ.). Οι επιθέσεις μπορούν να λάβουν διάφορες μορφές: α) Επιθέσεις εναντίον εξυπηρετητών ονομάτων τομέα (Domain Name Service DNS), β) Επιθέσεις δρομολόγησης, γ) Επιθέσεις άρνησης παροχής υπηρεσίας. Ενδεχόμενη ζημία: Οι διακοπές είναι επιζήμιες για ορισμένες ιστοσελίδες, καθώς οι επιχειρήσεις βασίζονται ολοένα περισσότερο στην ανεμπόδιστη διάθεση των δικτυακών τους τόπων για τις εμπορικές τους συναλλαγές. 11
Εκτέλεση κακόβουλου λογισμικού που τροποποιεί ή καταστρέφει δεδομένα (ιοί, worms και Trojan horses). Οι υπολογιστές λειτουργούν με λογισμικό. Το λογισμικό όμως μπορεί επίσης να χρησιμοποιηθεί και για να θέσει εκτός λειτουργίας έναν υπολογιστή, για να εξαλείψει ή να τροποποιήσει δεδομένα. Εάν ένας τέτοιος υπολογιστής είναι μέρος του δικτύου διαχείρισης, μπορεί η δυσλειτουργία του να έχει εκτεταμένες επιπτώσεις. Ο ιός είναι μια μορφή κακόβουλου λογισμικού. Πρόκειται για ένα πρόγραμμα που αναπαράγει τον κώδικά του, προσκολλώμενο σε άλλα προγράμματα, με τρόπο ώστε ο κώδικας του ιού να εκτελείται κατά την εκτέλεση προγράμματος του υπολογιστή που έχει προσβληθεί. Υπάρχουν πολλοί άλλοι τύποι κακόβουλου λογισμικού. Ορισμένοι βλάπτουν μόνο τον υπολογιστή όπου έχουν αντιγραφεί, ενώ άλλοι μεταδίδονται σε άλλα δικτυωμένα προγράμματα. Υπάρχουν π.χ προγράμματα (με την ονομασία «λογικές βόμβες») που παραμένουν αδρανή μέχρι την ενεργοποίησή τους από κάποιο γεγονός, όπως μια συγκεκριμένη ημερομηνία, π.χ. Τρίτη και 13. Άλλα προγράμματα εμφανίζονται ως καλοήθη, όταν όμως ανοίγουν εκδηλώνουν κακόβουλη επίθεση (για το λόγο αυτό αποκαλούνται «Δούρειοι Ίπποι» - Trojans). Άλλα προγράμματα (ονομαζόμενα «Σκουλήκια» - Worms) δεν προσβάλλουν άλλα προγράμματα όπως ο ιός, αλλά δημιουργούν αντίγραφά τους, τα οποία με τη σειρά τους αναπαράγονται, κατακλύζοντας τελικά ολόκληρο το σύστημα. Ενδεχόμενη ζημία: Οι ιοί μπορούν να είναι ιδιαίτερα καταστροφικοί, όπως φαίνεται και από το υψηλό κόστος ορισμένων πρόσφατων επιθέσεων (π.χ. "I Love you", "Melissa" και "Kournikova"). Παραπλάνηση/ψευδής δήλωση. Με την αποκατάσταση μιας δικτυακής σύνδεσης ή την παραλαβή δεδομένων, ο χρήστης συνάγει την ταυτότητα του συνομιλητή του με βάση το περικείμενο (context) της επικοινωνίας. Το δίκτυο παρέχει ορισμένες ενδείξεις ως προς αυτό. Ωστόσο, ο μεγαλύτερος κίνδυνος επιθέσεων προέρχεται από άτομα που γνωρίζουν το περικείμενο «από μέσα», δηλ. από μυημένους. Όταν ένας χρήστης επιλέγει έναν αριθμό ή έναν τύπο ηλεκτρονικής διεύθυνσης στον υπολογιστή, αναμένει ότι θα φθάσει στον επιθυμητό προορισμό. Αυτό αρκεί για πολλές εφαρμογές, όχι όμως για σημαντικές επαγγελματικές συναλλαγές ή για ιατρικές, οικονομικές ή επίσημες επικοινωνίες, όπου απαιτείται υψηλότερος βαθμός ελέγχου ταυτότητας, ακεραιότητας και τήρησης του απορρήτου. Ενδεχόμενη ζημία: Η παραπλάνηση ατόμων ή φορέων είναι επιζήμια κατά διαφορετικούς τρόπους. Οι πελάτες ενδέχεται να τηλε-φορτώσουν κακόβουλο λογισμικό από δικτυακό τόπο που αντιποιείται έμπιστη πηγή. Ενδέχεται να δοθούν εμπιστευτικές πληροφορίες σε λάθος άτομα. Η παραπλάνηση είναι δυνατόν να οδηγήσει σε άρνηση αναγνώρισης online συμβάσεων κλπ. Η μεγαλύτερη ίσως ζημία είναι το γεγονός ότι η έλλειψη επαλήθευσης ταυτότητας αποτρέπει δυνητική πελατεία. 12
ΚΕΦΑΛΑΙΟ ΔΕΥΤΕΡΟ 2.1 ΤΑΥΤΟΠΟΙΗΣΗ & ΠΙΣΤΟΠΟΙΗΣΗ Για τα περισσότερα υπολογιστικά και δικτυακά συστήματα, οι διαδικασίες ταυτοποίησης και πιστοποίησης των χρηστών είναι η πρώτη γραμμή άμυνας για την ασφάλεια του συστήματος. Οι διαδικασίες ταυτοποίησης και πιστοποίησης των χρηστών έχουν σκοπό να εμποδίσουν την πρόσβαση μη εξουσιοδοτημένων χρηστών (ή διαδικασιών) στο υπολογιστικό ή δικτυακό σύστημα. Οι διαδικασίες ταυτοποίησης και πιστοποίησης είναι ένα κρίσιμο δομικό στοιχείο της ασφάλειας ενός δικτύου δεδομένων, επειδή σε αυτές βασίζονται οι περισσότερες τεχνικές για έλεγχο πρόσβασης (access control) και σύνδεση της δραστηριότητας του συστήματος με συγκεκριμένους χρήστες που την προκάλεσαν (user accountability). O όρος ταυτοποίηση (identification) περιγράφει τη διαδικασία κατά την οποία ο χρήστης δηλώνει την ταυτότητα του στο σύστημα, ενώ ο όρος πιστοποίηση (authentication) περιγράφει τη διαδικασία με την οποία ο χρήστης επιβεβαιώνει τον ισχυρισμό για την ταυτότητα του. Συνήθως η ταυτότητα ενός χρήστη δηλώνεται από έναν κωδικό ο οποίος μερικές φορές αναφέρεται και σαν όνομα εισόδου (login name) του χρήστη. Αυτή η πληροφορία μπορεί να είναι γνωστή στο διαχειριστή του συστήματος και σε όλους τους υπόλοιπους χρήστες. Π.χ. για να πιστοποιηθεί η ταυτότητα του χρήστη με όνομα εισόδου guest απαιτείται μια διαδικασία πιστοποίησης ταυτότητας (π.χ ένας κωδικός πρόσβασης - password), η οποία είναι μυστική και γνωστή μόνο στο συγκεκριμένο χρήστη. Με αυτό τον τρόπο, ο διαχειριστής συστήματος μπορεί να παρακολουθήσει τις ενέργειες του συγκεκριμένου χρήστη στο σύστημα, οι υπόλοιποι χρήστες μπορούν να ανταλλάξουν μηνύματα ηλεκτρονικού ταχυδρομείου μαζί του, κλπ., αλλά κανένας άλλος δεν μπορεί να ισχυριστεί στο σύστημα ότι είναι ο χρήστης με όνομα εισόδου guest. Ένας μηχανισμός πιστοποίησης εξυπηρετεί στην αναγνώριση οντοτήτων με μοναδικό τρόπο και ενεργοποιείται πριν από οποιοδήποτε άλλο μηχανισμό που βασίζεται στην ταυτότητα μιας οντότητας. Επειδή η πιστοποίηση αποτελεί τη βάση για την περαιτέρω εφαρμογή άλλων μηχανισμών, απαιτείται να είναι κατά το δυνατό ασφαλέστερος και σθεναρός ο μηχανισμός που την υλοποιεί ώστε να λειτουργούν αξιόπιστα οι μηχανισμοί που βασίζονται σε αυτή. Πριν την έναρξη της διαδικασίας πιστοποίησης, απαιτείται όλες οι οντότητες να έχουν μια μοναδική ταυτότητα. Αυτή θα πρέπει να είναι τέτοια ώστε να μην μπορεί να παραποιηθεί από άλλες οντότητες, όπως για παράδειγμα μια λέξη κλειδί που την γνωρίζει μόνο ο χρήστης, μια κάρτα (smart card) ή το δακτυλικό αποτύπωμα. Η διαχείριση των ταυτοτήτων είναι αρμοδιότητα του διαχειριστή ασφάλειας ο οποίος διατηρεί μια βάση πληροφοριών ασφάλειας η οποία είναι απαραίτητη, Ο μηχανισμός πιστοποίησης είναι υποχρεωτικός για όλες τις οντότητες και πρέπει η ταυτότητα να αποδίδεται σε αυτές πριν την παραχώρηση των όποιων δικαιωμάτων πρόσβασης στο σύστημα. Σε πολλά συστήματα υφίστανται διαδικασίες που μεταβιβάζουν την ταυτότητα μιας οντότητας σε μια άλλη. Για παράδειγμα, όταν ένας 13
χρήστης (οντότητα) μπει σε ένα σύστημα (login), τα δικαιώματα του κληρονομούνται σε μια ή περισσότερες διαδικασίες ή υπηρεσίες του συστήματος (άλλες οντότητες), όπως κειμενογράφους (text editors), προγράμματα αποστολής μηνυμάτων (mail programs) κλπ. Οι διαδικασίες-υπηρεσίες αυτές καλούνται κομιστές της ταυτότητας του χρήστη. Η πιστοποίηση μπορεί να διαχωριστεί σε δύο τύπους: ασθενής και ισχυρή. Ασθενής ή απλή πιστοποίηση καλείται αυτή που πραγματοποιείται από απλούς μηχανισμούς που χρησιμοποιούνται από τα περισσότερα συστήματα, όπως για παράδειγμα η χρήση password όταν ένας χρήστης μπαίνει (logs in) σε ένα σύστημα. Ισχυρή πιστοποίηση είναι αυτή που υλοποιείται μέσω μηχανισμών που δεν επιτρέπουν την αποκάλυψη του απορρήτου κατά τη διαδικασία της πιστοποίησης. Αυτό μπορεί να επιτευχθεί για παράδειγμα με τη χρήση ασύμμετρων συστημάτων κρυπτογράφησης στα οποία μόνο η οντότητα αποστολέας γνωρίζει μοναδικά πως κωδικοποιείται ένα μήνυμα αλλά όλες οι άλλες οντότητες γνωρίζουν τη διαδικασία αποκωδικοποίησης του. Στην περίπτωση αυτή καμία οντότητα δεν χρειάζεται να αποκαλύψει το κρυπτογραφικό κωδικό (κλειδί) το οποίο αποτελεί απόρρητο που δεν διαμοιράζεται σε τρίτους. Υπάρχουν τρεις κατηγορίες συστημάτων για να πιστοποιηθεί η ταυτότητα ενός χρήστη, τα οποία μπορούν να χρησιμοποιηθούν είτε αυτόνομα είτε σε συνδυασμό: Συστήματα που βασίζονται σε πληροφορία / γνώση που κατέχει ο χρήστης (π.χ. κωδικός πρόσβασης, Προσωπικός Κωδικός Ταυτοποίησης (Personal Identification Number - PIN), κρυπτογραφικό κλειδί). Συστήματα που βασίζονται σε κάποιο αντικείμενο που κατέχει ο χρήστης (π.χ. ATM κάρτα, «έξυπνη» κάρτα - smart card). Συστήματα που βασίζονται σε κάποιο προσωπικό χαρακτηριστικό του χρήστη. Σε αυτή την κατηγορία ανήκουν οι μέθοδοι που βασίζονται στη βιομετρία (π.χ. έλεγχος φωνής, γραφικού χαρακτήρα, δακτυλικών αποτυπωμάτων). Καθεμιά από τις παραπάνω μεθόδους έχει τα δικά της μειονεκτήματα, τόσο όσον αφορά την ασφάλεια, όσο και την πολυπλοκότητα χρήσης από τους εξουσιοδοτημένους χρήστες και το διαχειριστή του συστήματος. Για παράδειγμα, κάποιος θα μπορούσε να μαντέψει ή να υποκλέψει έναν κωδικό πρόσβασης, να κλέψει ή να- κατασκευάσει πλαστές ATM κάρτες, κλπ. Από την άλλη πλευρά, ένας χρήστης μπορεί να ξεχάσει τον κωδικό πρόσβασης ή να χάσει την ATM κάρτα, ενώ ο διαχειριστικός φόρτος για την παρακολούθηση των κωδικών πρόσβασης ή των καρτών μπορεί να γίνει ιδιαίτερα σημαντικός. Όσον αφορά στα συστήματα βιομετρίας, αυτά έχουν αρκετά τεχνικά προβλήματα, προβλήματα αποδοχής από την πλευρά των χρηστών, και υψηλό κόστος. 14
2.2 ΣΥΣΤΗΜΑΤΑ ΠΟΥ ΒΑΣΙΖΟΝΤΑΙ ΣΤΗΝ ΠΛΗΡΟΦΟΡΙΑ Η πιο συνηθισμένη μορφή διαδικασίας ταυτοποίησης και πιστοποίησης ταυτότητας είναι ο συνδυασμός ενός ονόματος εισόδου χρήστη (login name) με μια πληροφορία που κατέχει ο χρήστης. Σε αυτή την κατεύθυνση, η σημαντικότερη κατηγορία είναι οι μηχανισμοί που βασίζονται στους συμβατικούς κωδικούς πρόσβασης (passwords). 2.2.1 ΚΩΔΙΚΟΙ ΠΡΟΣΒΑΣΗΣ (PASSWORDS) Tα συστήματα ταυτοποίησης και πιστοποίησης απαιτούν από το χρήστη την εισαγωγή ενός κωδικού ονόματος και ενός κωδικού πρόσβασης (ή προσωπικού κωδικού ταυτοποίησης). Το σύστημα συγκρίνει τον κωδικό πρόσβασης με έναν αποθηκευμένο κωδικό πρόσβασης που έχει συνδυαστεί με το συγκεκριμένο κωδικό όνομα. Αν οι δύο κωδικοί πρόσβασης ταυτίζονται, η ταυτότητα του χρήστη πιστοποιείται επιτυχώς, και ο χρήστης αποκτά πρόσβαση στον λογαριασμό του (Σχήμα 2-1). Μηχανισμοί πιστοποίησης ταυτότητας βασισμένοι σε κωδικούς πρόσβασης χρησιμοποιούνται για την ασφάλεια υπολογιστικών συστημάτων εδώ και πολλά χρόνια. Τέτοιοι μηχανισμοί έχουν ενσωματωθεί σε πολλά λειτουργικά συστήματα, και τόσο οι χρήστες όσο και οι διαχειριστές συστημάτων είναι εξοικειωμένοι με αυτά. Οι μηχανισμοί που βασίζονται σε κωδικούς πρόσβασης μπορούν να παρέχουν ικανοποιητικό επίπεδο ασφάλειας, υπό την προϋπόθεση ότι διαχειρίζονται σωστά και φυλάσσονται επαρκώς. Σχήμα 2-1: Διαδικασία ταυτοποίησης & πιστοποίησης με βάση κωδικό πρόσβασης Η ασφάλεια ενός συστήματος που βασίζεται σε κωδικούς πρόσβασης εξαρτάται από το βαθμό που οι κωδικοί πρόσβασης παραμένουν μυστικοί. Παρόλα αυτά, υπάρχουν αρκετοί τρόποι να αποκαλυφθούν οι κωδικοί πρόσβασης: Κωδικοί πρόσβασης που είναι εύκολο να μαντευθούν. Συνήθως οι χρήστες διαλέγουν κωδικούς πρόσβασης που μπορούν να τους θυμούνται εύκολα, όπως ονόματα ατόμων, κατοικίδιων, ή αθλητικών συλλόγων. Ένας εισβολέας μπορεί 15
εύκολα να μαντέψει έναν τέτοιου είδους κωδικό πρόσβασης. Από την άλλη πλευρά, αν οι χρήστες δυσκολεύονται να απομνημονεύσουν τους, κωδικούς πρόσβασης, τότε τους κρατούν γραμμένους σε κάποιο σημείο. Πολλά υπολογιστικά συστήματα έχουν προκαθορισμένους κωδικούς πρόσβασης για τους λογαριασμούς που χρησιμοποιούνται για τη διαχείριση του συστήματος. Επειδή αυτοί οι κωδικοί πρόσβασης είναι τυποποιημένοι, μπορούν να μαντευθούν πολύ εύκολα. Αν και αυτό το πρόβλημα έχει επισημανθεί εδώ και χρόνια, πολλοί διαχειριστές δεν έχουν αλλάξει αυτούς τους κωδικούς πρόσβασης. Ένας άλλος τρόπος για να αποκαλυφθεί ένας κωδικός πρόσβασης είναι η παρακολούθηση του χρήστη τη στιγμή που αυτός εισάγει τον κωδικό. Αποκάλυψη των κωδικών πρόσβασης. Είναι πολύ συνηθισμένο οι χρήστες να μοιράζονται τους κωδικούς πρόσβασης μεταξύ τους. Για παράδειγμα, συνάδελφοι μπορεί να γνωρίζουν ο ένας τον κωδικό πρόσβασης του άλλου, ώστε να μπορούν να μοιράζονται αρχεία και άλλους πόρους. Ηλεκτρονική παρακολούθηση. Όταν οι κωδικοί πρόσβασης μεταδίδονται στο υπολογιστικό σύστημα, μπορούν να υποκλαπούν μέσω ηλεκτρονικής παρακολούθησης του διαύλου μετάδοσης. Η παρακολούθηση μπορεί να λάβει χώρα είτε στο δικτυακό υποσύστημα που χρησιμοποιείται για τη μετάδοση, είτε στο ίδιο το υπολογιστικό σύστημα (π.χ. εγκατάσταση ενός Trojan horse). Αξίζει να σημειωθεί ότι αυτό το πρόβλημα δεν μπορεί να λυθεί με απλή κρυπτογράφηση των κωδικών πρόσβασης, γιατί κάθε φορά η κρυπτογράφηση του ίδιου κωδικού πρόσβασης δίνει το ίδιο αποτέλεσμα, οπότε ο κρυπτογραφημένος κωδικός πρόσβασης μπορεί να χρησιμοποιηθεί από κάποιον εισβολέα. Πρόσβαση στο αρχείο με τους κωδικούς πρόσβασης. Στην περίπτωση που το αρχείο με τους κωδικούς πρόσβασης των εξουσιοδοτημένων χρηστών δεν προστατεύεται επαρκώς, αυτό το αρχείο μπορεί να υποκλαπεί και να μεταφερθεί μέσω δικτύου σε άλλο, απομακρυσμένο υπολογιστικό σύστημα. Tα αρχεία με τους κωδικούς πρόσβασης σχεδόν πάντοτε προστατεύονται με τεχνικές μονόδρομης κρυπτογράφησης, ώστε οι κωδικοί πρόσβασης να μην είναι διαθέσιμοι στον διαχειριστή του συστήματος ή στους πιθανούς εισβολείς, ακόμα και αν αποκτήσουν πρόσβαση στο συγκεκριμένο αρχείο. Παρόλα αυτά, εφόσον το αρχείο με τους κωδικούς πρόσβασης μεταφερθεί σε κάποιο άλλο υπολογιστικό σύστημα, οι κρυπτογραφήσεις πολλών συμβολοσειρών μπορούν να συγκριθούν με τα περιεχόμενα του αρχείου, ώστε να ανακαλυφθούν οι κωδικοί πρόσβασης. Με εξαίρεση την ηλεκτρονική παρακολούθηση, τα παραπάνω προβλήματα μπορούν να αντιμετωπιστούν σε σημαντικό βαθμό με σωστή πολιτική διαχείρισης των κωδικών πρόσβασης. Συνήθως επιβάλλονται κανόνες που δεν επιτρέπουν τη χρήση κωδικών που μπορούν εύκολα να μαντευθούν (π.χ. δεδομένο ελάχιστο μήκος, μίξη πεζών -κεφαλαίων και χρήση σημείων στίξης, έλεγχος με προγράμματα «σπασίματος» κωδικών πρόσβασης, γήρανση και συχνή των κωδικών). Επίσης επιβάλλονται όρια στον αριθμό των αποτυχημένων προσπαθειών για πιστοποίηση ταυτότητας, ώστε να μην διευκολύνονται οι εισβολείς στο να μαντέψουν κάποιον 16
κωδικό πρόσβασης. Επίσης, χρησιμοποιείται μονόδρομη κρυπτογράφηση στο αρχείο των κωδικών πρόσβασης, και δεν αποκλείονται οι χρήστες από κάθε πρόσβαση σε αυτό. Το πρόβλημα της ηλεκτρονικής παρακολούθησης είναι πιο σύνθετο και συνήθως λύνεται με την εφαρμογή προηγμένων μεθόδων για την πιστοποίηση ταυτότητας. 2.2.2 ΣΥΣΤΗΜΑΤΑ ΠΟΥ ΒΑΣΙΖΟΝΤΑΙ ΣΤΗΝ ΚΑΤΟΧΗ Tα περισσότερα και πιο συνηθισμένα συστήματα αυτής της κατηγορίας συνδυάζουν ένα αντικείμενο που ο χρήστης έχει στην κατοχή του (π.χ. ATM κάρτα, «έξυπνη» κάρτα) με πληροφορία που ο χρήστης γνωρίζει, ώστε να επιτύχουν μεγαλύτερη ασφάλεια από τα συστήματα της προηγούμενης κατηγορίας. Συνήθως, το αντικείμενο που ο χρήστης έχει στην κατοχή του καλείται κουπόνι ή κάρτα (token), και τα συστήματα διακρίνονται σε αυτά που χρησιμοποιούν κάρτες μνήμης (memory tokens), και σε αυτά που χρησιμοποιούν έξυπνες κάρτες (smart tokens). 2.2.3 ΚΑΡΤΕΣ ΜΝΗΜΗΣ (MEMORY TOKENS) Οι κάρτες μνήμης αποθηκεύουν, αλλά δεν επεξεργάζονται, πληροφορία. Η πιο συνηθισμένη μορφή καρτών μνήμης είναι οι μαγνητικές κάρτες (magnetic stripped cards), στις οποίες μια στενή λωρίδα μαγνητικού υλικού προσαρμόζεται στην επιφάνεια της κάρτας. Στο μαγνητικό υλικό καταγράφονται κάποιες πληροφορίες, οι οποίες αποτελούν τμήμα των δεδομένων πιστοποίησης. Η πιο συνηθισμένη χρήση αυτής της τεχνικής είναι στις Αυτόματες Ταμειακές Μηχανές (Automatic Teller Machines ATM), στις οποίες οι μαγνητική κάρτα συνδυάζεται με τον Προσωπικό Κωδικό Ταυτοποίησης (Personal Identification Number PIN). Σπανιότερα εφαρμόζονται διαδικασίες πιστοποίησης που βασίζονται μόνο στην κατοχή μιας κάρτας μνήμης από το χρήστη. Είναι φανερό ότι οι διαδικασίες πιστοποίησης που βασίζονται στο συνδυασμό μιας κάρτας μνήμης με ένα PIN παρέχουν σημαντικά υψηλότερα επίπεδα ασφάλειας από τις διαδικασίες πιστοποίησης που βασίζονται μόνο σε κωδικούς πρόσβασης. Ένας εισβολέας για να προσποιηθεί ότι είναι κάποιος εξουσιοδοτημένος χρήστης πρέπει να έχει στην κατοχή του τόσο μια έγκυρη κάρτα όσο και το έγκυρο PIN για αυτή την κάρτα. Προφανώς, αυτό είναι αρκετά πιο δύσκολο από την υποκλοπή ενός κωδικού πρόσβασης, αφού τα ονόματα των χρηστών είναι διαθέσιμα σε όλους. Παρόλα αυτά πιο σύνθετες τεχνικά επιθέσεις είναι πιθανές εναντίον ενός συστήματος που βασίζεται σε κάρτες μνήμης και PINs. Για παράδειγμα, μια ομάδα έκλεψε ένα ATM και το εγκατέστησε σε ένα εμπορικό κατάστημα. Με αυτό τον τρόπο απέκτησαν πρόσβαση σε έγκυρους αριθμούς λογαριασμών και στα αντίστοιχα PINs, κατασκεύασαν ψεύτικες κάρτες, και τις χρησιμοποίησαν για την ανάληψη χρημάτων από κανονικά ATM. 17
Επίσης, άλλα σημαντικά προβλήματα στη χρήση τέτοιων τεχνικών αφορούν στο κόστος, τη διαχείριση, την απώλεια των καρτών, τη δυσαρέσκεια των χρηστών, και την παραχώρηση των PINs. Συγκεκριμένα, το κόστος αυξάνεται σημαντικά από τις ειδικές συσκευές οι οποίες διαβάζουν τις μαγνητικές κάρτες, επιτρέπουν την εισαγωγή των PINs, και αποφασίζουν αν τα δεδομένα είναι έγκυρα, ώστε ο χρήστης να αποκτήσει πρόσβαση. Η απώλεια της μαγνητικής κάρτας εμποδίζει την πρόσβαση του χρήστη, μέχρι αυτή να αντικατασταθεί. Αυτό αφενός δημιουργεί επιπλέον διαχειριστικό κόστος, και αφετέρου αυξάνει τις πιθανότητες η ασφάλεια του συστήματος να παραβιαστεί από αυτόν που θα βρει το κουπόνι. Επίσης, οι χρήστες αρκετές φορές δεν καταλαβαίνουν την ανάγκη χρήσης καρτών για την πιστοποίηση ταυτότητας σε ένα υπολογιστικό σύστημα. Το φαινόμενο αυτό μπορεί να αντιμετωπιστεί με ενημέρωση των χρηστών για την αναγκαιότητα αυξημένων μέτρων για την ασφάλεια του συστήματος. 2.2.4 ΕΞΥΠΝΕΣ ΚΑΡΤΕΣ (SMART TOKENS) Μια έξυπνη κάρτα επεκτείνει τη λειτουργικότητα μιας κάρτας μνήμης ενσωματώνοντας ένα ή περισσότερα ολοκληρωμένα κυκλώματα στην ίδια την κάρτα. Όταν χρησιμοποιείται για πιστοποίηση ταυτότητας, μια έξυπνη κάρτα συνήθως συνδυάζεται με ένα PIN (ή κάποια άλλη πληροφορία). Υπάρχουν πολλοί διαφορετικοί τύποι έξυπνων καρτών, οι οποίοι διακρίνονται κυρίως με βάση τα φυσικά χαρακτηριστικά, το περιβάλλον αλληλεπίδρασης, και τα πρωτόκολλα που χρησιμοποιούνται. Όσον αφορά στα φυσικά χαρακτηριστικά, οι έξυπνες κάρτες έχουν ενσωματωμένο ένα μικροεπεξεργαστή, ενώ τα χαρακτηριστικά μιας κατηγορίας ορίζονται σε ένα διεθνή τυποποίηση που έχει επεξεργαστεί από τον ISO. Οι έξυπνες κάρτες έχουν είτε χειροκίνητο (manual), είτε ηλεκτρονικό περιβάλλον αλληλεπίδρασης. Στην πρώτη περίπτωση, η κάρτα έχει μικρή οθόνη ή / και πληκτρολόγιο που επιτρέπει στο χρήστη να αλληλεπιδρά με την κάρτα. Οι έξυπνες κάρτες με ηλεκτρονικό περιβάλλον αλληλεπίδρασης προσπελαύνονται (ανάγνωση / ενημέρωση / εγγραφή) μέσω ειδικών συσκευών. Επίσης, υπάρχουν πολλοί τύποι πρωτοκόλλων που μπορούν να χρησιμοποιηθούν για πιστοποίηση με χρήση έξυπνης κάρτας. Διακρίνονται τρεις μεγάλες, γενικές κατηγορίες τέτοιων πρωτοκόλλων, τα πρωτόκολλα στατικής ανταλλαγής κωδικών πρόσβασης, τα πρωτόκολλα δυναμικής δημιουργίας κωδικών πρόσβασης, και τα πρωτόκολλα ερώτησης - απόκρισης (challenge - response). Οι έξυπνες κάρτες που χρησιμοποιούν στατική ανταλλαγή κωδικών πρόσβασης λειτουργούν με τρόπο παρόμοιο με αυτό των καρτών μνήμης, με μόνη διαφορά ότι πρώτα ο χρήστης πιστοποιεί την ταυτότητα του στην κάρτα, και στη συνέχεια η κάρτα αναλαμβάνει την πιστοποίηση της ταυτότητας του χρήστη στο υπολογιστικό σύστημα. Στην περίπτωση της δυναμικής δημιουργίας κωδικών πρόσβασης, η έξυπνη κάρτα παράγει μια συμβολοσειρά, η οποία μεταβάλλεται περιοδικά. Ανάλογα 18
με το είδος της αλληλεπίδρασης, ο χρήστης ή η κάρτα χρησιμοποιεί αυτόν τον κωδικό για την πιστοποίηση ταυτότητας. Tα πρωτόκολλα ερώτησης-απόκρισης βασίζονται στην κρυπτογραφία. Το υπολογιστικό σύστημα δημιουργεί μια ερώτηση (π.χ το στιγμιότυπο ενός υπολογιστικά δύσκολου προβλήματος), και η έξυπνη κάρτα αναλαμβάνει να δώσει τη σωστή απάντηση (π.χ. τη λύση στο πρόβλημα). Tα σημαντικότερα πλεονεκτήματα των έξυπνων καρτών είναι ότι είναι ευέλικτες και μπορούν να δώσουν λύση σε πολλά προβλήματα που σχετίζονται με την ασφάλεια των διαδικασιών πιστοποίησης. Γενικά, παρέχουν μεγαλύτερη ασφάλεια από τις μαγνητικές κάρτες, και δίνουν μια απάντηση στο πρόβλημα της ηλεκτρονικής παρακολούθησης, με τη μέθοδο των κωδικών πρόσβασης μιας χρήσης (one-time passwords). Συγκεκριμένα, οι έξυπνες κάρτες που χρησιμοποιούν πρωτόκολλα δυναμικής δημιουργίας κωδικών πρόσβασης ή ερώτησης - απόκρισης δημιουργούν κωδικούς πρόσβασης μιας χρήσης, δηλαδή κωδικούς πρόσβασης που είναι έγκυροι μόνο για τη συγκεκριμένη χρονική στιγμή. Προφανώς, η αποκάλυψη μέσω ηλεκτρονικής παρακολούθησης ενός κωδικού πρόσβασης μιας χρήσης δεν έχει νόημα, γιατί αυτός δεν μπορεί να χρησιμοποιηθεί πάλι. Επίσης, οι έξυπνες κάρτες μειώνουν τον κίνδυνο της κατασκευής πλαστών αντιγράφων, γιατί αφενός πρόκειται για πιο σύνθετες κατασκευές, και αφετέρου η μνήμη μιας έξυπνης κάρτας δεν μπορεί να διαβαστεί, αν προηγούμενα ο χρήστης δεν πιστοποιήσει την ταυτότητα του. Ακόμη, οι έξυπνες κάρτες επιτρέπουν στους χρήστες να έχουν πρόσβαση στο σύνολο των υπολογιστικών συστημάτων ενός οργανισμού, πιστοποιώντας την ταυτότητα τους μόνο μία φορά (για το σύνολο των συστημάτων στην αρχή κάθε συνόδου. Εκτός από τις έξυπνες κάρτες, παρόμοια δυνατότητα παρέχεται από εφαρμογές που λειτουργούν σαν εξυπηρετητές πιστοποίησης για το σύνολο των υπολογιστικών συστημάτων ενός οργανισμού, όπως το Kerberos. Όπως και στην περίπτωση των καρτών μνήμης, τα βασικά μειονεκτήματα της χρήσης έξυπνων καρτών έχουν να κάνουν με το κόστος χρήσης και συντήρησης, και τη δυσαρέσκεια των χρηστών. Οι έξυπνες κάρτες είναι λιγότερο τρωτές στην υποκλοπή του PIN, επειδή απαιτείται από το χρήστη να πιστοποιήσει την ταυτότητα του στην ίδια την κάρτα. Από την άλλη πλευρά, οι έξυπνες κάρτες κοστίζουν περισσότερο από τις κάρτες μνήμης, και είναι πιο σύνθετες στο σχεδιασμό τους και τη λειτουργία τους. Ένα από τα βασικά προβλήματα στη χρήση των έξυπνων καρτών είναι ότι οι αυτές που έχουν ηλεκτρονικό περιβάλλον αλληλεπίδρασης απαιτούν τη χρήση ειδικών συσκευών για ανάγνωση/εγγραφή της κάρτας, ενώ αυτές που έχουν χειροκίνητο περιβάλλον 1 αλληλεπίδρασης απαιτούν κάποιες επιπλέον ενέργειες από την πλευρά του χρήστη. Η πρώτη περίπτωση αυξάνει σημαντικά το κόστος εγκατάστασης και συντήρησης του συστήματος, ενώ η δεύτερη αυξάνει τη δυσαρέσκεια των χρηστών, που απαιτούν από τα υπολογιστικά συστήματα να είναι φιλικά προς το χρήστη. Επιπλέον, η χρήση ενός συστήματος πιστοποίησης ταυτότητας που βασίζεται σε έξυπνες κάρτες έχει σημαντικές απαιτήσεις σε διαχείριση, ενώ στην περίπτωση ταυτόχρονης χρήσης κρυπτογραφικών κλειδιών απαιτείται επιπλέον σύστημα διαχείρισης για αυτά. 19
2.2.5 ΣΥΣΤΗΜΑΤΑ ΠΟΥ ΒΑΣΙΖΟΝΤΑΙ ΣΤΗ ΒΙΟΜΕΤΡΙΑ Οι διαδικασίες πιστοποίησης που βασίζονται στη βιομετρία χρησιμοποιούν κάποια ατομικά χαρακτηριστικά για να πιστοποιήσουν την ταυτότητα του χρήστη. Συνήθως χρησιμοποιούνται χαρακτηριστικά όπως τα δακτυλικά αποτυπώματα, τα χαρακτηριστικά του ματιού, η χροιά της φωνής, και ο γραφικός χαρακτήρας. Η αρχή λειτουργίας των συστημάτων βιομετρίας μπορεί να αναλυθεί σε δύο βήματα. Στη φάση αρχικοποίησης του συστήματος, δημιουργείται ένα προφίλ που περιγράφει τη μορφή του επιλεγμένου χαρακτηριστικού για κάθε χρήστη. Αυτό το προφίλ σχετίζεται με το συγκεκριμένο χρήστη και αποθηκεύεται για μελλοντική χρήση. Σε κάθε προσπάθεια πιστοποίησης, μια ειδική συσκευή ανιχνεύει τη μορφή του επιλεγμένου χαρακτηριστικού στο άτομο που προσπαθεί να αποκτήσει πρόσβαση, και εφόσον ταιριάζει με το προφίλ που έχει αποθηκευτεί, παρέχεται πρόσβαση. Αν και τα τελευταία χρόνια τέτοιου είδους συστήματα είναι διαθέσιμα για χρήση, αυτά είναι τεχνικά πολύπλοκα και ιδιαίτερα ακριβά, ενώ σημαντικά προβλήματα μπορεί να εμφανιστούν όσον αφορά στην αποδοχή τους από τους τελικούς χρήστες. Από την άλλη πλευρά, η τεχνολογία που βασίζεται στη βιομετρία εξελίσσεται γρήγορα, και τα συστήματα γίνονται όλο και πιο αξιόπιστα, πιο φθηνά, και πιο φιλικά προς το χρήστη. Tα συστήματα βιομετρίας μπορούν να παρέχουν πολύ υψηλό βαθμό ασφάλειας, αλλά η τεχνολογία που χρησιμοποιούν δεν είναι τόσο ώριμη όσο στην περίπτωση των καρτών μνήμης και των έξυπνων καρτών. Επιπλέον, στην περίπτωση εφαρμογής τέτοιων συστημάτων ανακύπτουν δυσκολίες που οφείλονται στο γεγονός ότι είναι δύσκολο να αποθηκευτεί για μελλοντική σύγκριση ένα ατομικό χαρακτηριστικό με ακρίβεια και λεπτομέρεια. Επίσης, κάποια ατομικά χαρακτηριστικά ενδέχεται να μεταβάλλονται σημαντικά, όπως για παράδειγμα η φωνή ενός ανθρώπου που πάσχει από κρυολόγημα ή έχει βραχνιάσει. Εξ αιτίας του σημαντικού κόστους και των τεχνικών δυσκολιών, αυτή τη στιγμή τα συστήματα βιομετρίας είναι κατάλληλα μόνο για περιβάλλοντα υψηλού κινδύνου, στα οποία απαιτείται πολύ υψηλός βαθμός ασφάλειας. 2.2.6 ΔΙΑΧΕΙΡΙΣΗ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΙΣΤΟΠΟΙΗΣΗΣ Η διαχείριση των δεδομένων πιστοποίησης είναι ένα από τα πιο κρίσιμα σημεία στο σχεδιασμό και τη λειτουργία ενός συστήματος πιστοποίησης. Ο φόρτος διαχείρισης σε ένα σύστημα ταυτοποίησης και πιστοποίησης ταυτότητας μπορεί να είναι ιδιαίτερα σημαντικός. Η διαχείριση συνήθως περιλαμβάνει τη δημιουργία, τη διανομή και την αποθήκευση των δεδομένων πιστοποίησης. Για τα συστήματα που βασίζονται στους κωδικούς πρόσβασης, η διαδικασία διαχείρισης κυρίως περιλαμβάνει τον ορισμό της πολιτικής ορισμού και ανανέωσης των κωδικών πρόσβασης και τη συντήρηση του αρχείου στο οποίο αποθηκεύονται οι 20